跳到主要內容

對台灣即將更換的數位身分識別證的幾個疑問


在 2017 年時,台灣政府相關部會就不斷用各種藉口,要將現行的卡式身分證更換為結合更多功能的數位身分識別證,例如:多卡合一可以讓民眾的皮夾薄一點、許多國家都換成數位身份證,所以也要換。台灣的人權團體不斷的提出疑慮,提醒民眾若是實施數位身分識別可能會面臨的風險,試圖喚醒民眾的警覺心。

吵吵鬧鬧至今,只要是反對數位身分證的人,就不會收到內政部或是其他相關活動的訊息,就如同當初資安法一樣,反對的人就讓他們不知道訊息一樣,甚至是在社群媒體上對提問也是封閉、選擇性的回答。

今天看了三篇文章:
  1. 台灣人權促進會 (台權會):晶片身分證:為誰造橋鋪路? (2019/08/22)
  2. 中央社:數位身分證明年10月換發 未來結合手機免攜卡 (2019/08/22)
  3. 中央社:徐國勇:不換新身分證無罰則 恐無法投票 (2019/05/16)
看起來數位身份證是勢在必行了,但報導中的內容則讓我覺得這些都無法構成說服民眾 (我) 更換數位身分證的理由。

在 2017 年時,我已經過對數位身份識別證的疑問,而近期的報導,依然沒有解決我對這張卡的不信任。

多卡合一可以讓民眾的皮夾薄一點?

目前規劃的數位身分證是打算將現行身分證和自然人憑證結合在一起。自然人憑證可能一年使用約一至兩次,而且可能是在家使用居多,使用身分證的場合稍多一點,銀行開戶或是一些文件就會需要使用身分證來證明自己的身分。

所以不常用的卡不會帶在身上,它不像折扣卡需要時時帶在身邊,吃飯結帳時出示自然人憑證也不會省去服務費,它的確可以合併到身分證,或是乾脆取消掉。把現行的一些服務,例如:查閱自己的信用記錄、申請戶籍謄本...等,整合至身分證即可。

同時,在今年換新我的自然人憑證時,我發現裡面有個「憑證是否公開」的項目是「預設公開」的。我問了一下經辦人員,原來這是預設在政府內部公開,各部會在需要時是可以檢視資料的。於是在現場馬上要求把這個選項關閉。各位也可以透過自然人憑證網站操作,關閉這個項目,網站上有提供操作指示:憑證是否公開

數位身分識別證是政府數位轉型的一環?

在我個人接觸過的政府數位轉型報告裡,都沒有提到政府數位轉型 (Government Digital Transformation)的必要步驟裡,把人民的身分資料數位化是必要的條件。多是都是在談領導人的支持、對於服務流程的改善、如何讓人民享受便利的政府服務、內部行政流程電子化、內部治理如何透過電子化、外部對民眾的線上服務、與實體的整合,這些內部治理議題,多數是在談政府部會首長有沒有相關的治理意識與決心、如何讓民眾透過各種管道參與政策決策、治理框架、採購流程。

OECD提供了12個原則、McKinsey也提供了他們的建議:
  1. OECD Digital Government Toolkit - 12 Principles
  2. McKinsey: Transforming government through digitization
千萬別拿民眾的個人資料開玩笑。

台灣政府的紙本申請文件,就算是要更新一個表格,也要同步修改線上介面和資料庫都做不到了,還談政府數位轉型?

綁在手機上,又要有支付功能?

在這一百多天香港的反送中遊行裡,出現了遊行參與者不使用八達通卡搭乘香港地鐵,而使用零錢購買乘車票證,原因在於他們不想被政府追蹤行踪。

台灣現行悠遊卡的概念其實來自於香港的八達通卡,可以運用在儲值、支付,這幾年八達通卡配合消費者愈來愈依賴手機的行為,也讓這張卡片虛擬化,做成應用程式 (APP) 可以安裝在手機上,同時也可以結合 O!ePay,可以自動儲值、儲存電子票證、收據,所以只要帶個手機出門,不用再帶八達通卡。甚至他們也鼓勵民眾在手機上安裝八達通的 APP。

這也顯示了這張八達通卡 (APP) 結合了金融功能、可以取得使用者的財務資訊,因為它是交通卡的功能,所以也可以取得這支手機、這個卡號擁有者的地理位置。

我放上中華航空 APP 在我手機裡可以取得的權限,它包括了這支手機的位置、儲存的資料夾內容、可以透過程式操作相機、還可以取得手機裡聯絡人的資訊,當然,我全部關掉了,憑什麼這個 APP 可以取得這麼多資訊呢?

在中央社 8 月 22 日的報導中提到:「內政部表示,數位身分識別證是自然人憑證的升級版,使用時不會在憑證中心留下任何紀錄,也不用連回內政部取用個資,沒有一個機關可以掌握New eID 的使用軌跡,所以沒有國家監控的問題。」

原本我覺得台權會文章內文的內容無法支持在開頭提到的國家監控論點,但如果要綁在手機上,那麼國家監控的確是可以進行的。同時我在公共政策參與平台上看到這個提案:「未來新式身分證除IC安全密碼功能,應結合全國戶政系統及金融系統,可避免人頭帳戶及減少開戶照相程序,也就是只要政府有心,當然不需要連回內政部取用個資,它只要追蹤那支綁定手機定位的卡號就可以了,還可以了解使用者的財務狀況,真是輕而易舉。

所以請各位想一想,也許轉換為晶片卡的數位身分識別證還沒有虛擬化的應用程式來得可怕。

在印度的 Aadhaar 和美國的 Equifax 相當的有名,Aadhaar 資料庫儲存了印度人民的生物辨識資訊、連結銀行財務資訊、綁定手機號碼;美國 Equifax 則是儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊。Aadhaar 資料庫三不五時就傳出資料外洩,人民因為資料外洩而面臨詐欺、身份被偽造向銀行貸款或是購車的新聞;Equifax 確實遇到了資料外洩,但也無法妥善處理民眾將面臨身份被竊取、財務隱私資訊被公開的風險。

如果真的像公共政策參與平台上的提案,未來的數位身分識別證要結合全國戶政系統和金融系統,請問要如何協助民眾減低資料外洩、身分被偽造、隱私被公開的風險和相關的補救措施?

不換身分證就沒不能投票?

身為平民百姓,我十分希望我可以有選擇權,避免使用這樣的服務,我是否可以做個註記,不換發數位身分識別證?從今年 5 月 16 日的報導裡可以得知:「若是民眾選擇不換領數位身分證,是否會有罰則。徐國勇表示,不換不會有罰則,只是民眾若選擇不換,恐怕會影響到相關權益,如可能無法投票。」

因為會影響到我的投票權益,於是我在想,換發數位身份證的目的是什麼?方便辨識我有沒有去投票嗎?有沒有法規註明一定要換成最新的身分證才能投票?

於是我查了一下偉大的中華民國憲法,在第十七條則寫了:人民有選舉、罷免、創制及複決之權;於是再查詢公民投票法公職人員選舉罷免法,裡面只提到,投票時要出示國民身分證,核對身分證統一編號,才可以參與投票、領取選票。這也表示,只要我能證明我就是我自己且當地的選舉名冊有我本人的名字與資訊,我不更換為數位身分識別證,政府也不能取消我的選舉權,所以,請不要誤導民眾以為不換身分證就喪失選舉權。

APrIGF 2019 討論的數位身分識別

在 APrIGF 2019 中,幾乎所有參與者都反對政府使用數位身分識別或是建立如 Aadhaar 的資料庫。畢竟駭客總是比政府還要早知道資料庫的漏洞在哪,如此龐大的資料庫,都是主要的攻擊目標。

在現場就有參與者也提醒大家,對於國際間的難民、無法以紙本文件證明自己的人來說,把自己的身份資訊數位化,是能協助這些人重新進入社會、參與經濟活動的管道,因為在目前的社會運作架構下,只有這樣的方式才能證明他是他自己。

也許我們該做的,是好好省思為什麼我們需要藉由一張卡片、一支程式、任何第三方或第 N 方機構來證明自己的身分?為什麼我們要犠牲自己的隱私來取得便利的生活或蠅頭小利?人與人之間互信的基礎為什麼這麼薄弱?為什麼政府要做這些事情,目的是什麼?

最後麻煩一下,請不要再說把民眾個人資料電子化或數位化就是政府數位轉型的一環,真的是一點關係都沒有。

留言

  1. 最後一句話很有感. 不該只是資料電子化和數位化就是政府數位轉型. 得搭配還權於民,並且連政府需要資料也一樣需要民眾授權才是

    回覆刪除
    回覆
    1. 也許很多人對「政府數位轉型」的作法有不同的意見,但從相關的文獻資料、他國「政府數位轉型」的經驗,從未說「數位身分識別證」是「政府數位轉型」的一環。

      「政府數位轉型」是政府內部的治理、如何藉由改變服務流程提高人民使用政府服務的效率。談的是藉由數位化服務改善行政流程、服務整合,而不是為了提升他們自己的行政效率,就把服務成本外部化,也不會談到「還權於民」。沒有一個政府會真的「還權於民」,只會在固定的框架下,讓民眾有部分的決策權。就像有些餐廳,他們說提供客制化的餐點,但其實只是告訴客人主餐是五選一、沙拉三選一、附餐二選一,甜點三選一,飲料四選一,就是這樣而已。

      刪除
    2. 真正的「還權於民」,就像是 Bitcoin 最初所談到的,不經過第三方或第 n 方。這樣的境界需要人民擁有高度的自理、自治、自制的能力,要能為自己的行為負責,不然永遠都會需要第 n 方幫人民扛責任。

      這也是政府有機會存在和介入的原因。

      刪除

張貼留言

請勿匿名留言,待審核後才會出現。

這個網誌中的熱門文章

觀察台灣租車公司資料外洩事件和國外的類似個案

一月底時, TechCrunch 的報導讓大家注意到台灣的租車公司發生了資料外洩事件,從報導中可以得知,這次的資料外洩的範圍,部分信用卡號碼、客戶身份證明文件,以及租車者的相片、簽名和租車詳細資訊。由於是租車公司,主管機關大概是交通部公路總局,所以也看到台灣的 後續報導 是公路總局要求該公司限期改善,在 TechCrunch 的原報導中也提到他們有發信問數位發展部,已經通報  TWCERT/CC  協助處理,也已經無法自該資料庫下載資料。 這件事情讓我想到幾個美國的案件,我簡單的摘要並提供美國FTC的案件連結,有興趣的人可以再去網站上閱讀: Equifax資料外洩案: 2017年時的Equifax資料外洩案十分有名,由於它是一家跨國消費者信用調查的公司,所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊,被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。 經過調查, 在這次的資料外洩案中有 1.47 億人的個人資料被外洩,在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解,在和解協議中,需要支付4.25 億美元給受到資料外洩案影響的人,到2026年之前,美國的消費者透過特定的網站,每年可以取得7份免費的信用評估報告,另外,受害者也可以在特定期間內,針對因受到身分被竊取、詐欺的而影響,要求賠償需要恢復身分所花費的時數及費用,每小時賠償25美元,最多20小時。 對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說,可能不覺得有什麼,但從2017年關注這個事情到現在,我想美國人對於因資料外洩而導致身分被竊取、詐騙,實在是謹慎且處理方式完整許多。 連結: Equifax Data Breach Settlement Drizly 資料外洩案 資料外洩的案子常在網路上出現,看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統,還把帳號密碼未經加密就寫在某個公開的服務裡。 2018年對我來說幾乎是資料外洩案爆發的一年,但對長期服務於資安領域的人來說,這些都不是新案。 美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站,他們使用了Amazon的雲端服務,在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識

[movie]Selena 哭泣的玫瑰

歌手:Selena Quintanilla Perez(1971~1995) 從wikipedia查Selena 導演:Gregory Nava 主要演員:Jennifer Lopez, Jackie Guerra 推薦CD: LIVE THE LAST CONCERT 電影原聲帶: 哭泣的玫瑰 最近在聽一張已絕版的專輯,已逝拉丁歌手Selena的Dreaming Of You。這位歌手只活了短暫的二十三年,死於自己歌友會主席的槍下。在她短暫的生命裡,歌唱事業佔了她二十三年生命中的大部份,然而她也曾在1987年獲得Tejano Music Awards本年度最佳女歌手獎、最佳表演獎並於1993年獲葛萊美最佳表演獎,之後又以《 Amor Prohibido 》這張專輯獲得1994年葛萊美金獎,跨越了國藉的隔閡,是位非常傑出的拉丁女歌手。 這部Selena在台灣被譯作《哭泣的玫瑰》1997年時由Jennifer Lopez演出,由於電影拍攝出資者是Selena的父親Abraham Quintanilla,而他們一家屬於墨裔美國人,所以在片中還可以看到移民者的一些感觸。 Abraham年輕時就有組團表演的夢想,但他的身份使他的樂團在白人舞廳裡無法得到表演機會,當他們在墨西哥舞廳裡歌唱時又因為只懂得唱白人的抒情歌曲,使喜愛跳舞的拉丁人民無法隨樂起舞而引起暴動,接著便結束了他的音樂夢,當他發現自己十歲的小女兒Selena具有音樂天份時,整個家庭都投入表演事業,由他擔任經紀人,全家四處表演。 由於她在年紀小小時便四處表演,所以她無法像其他同年齡的女孩一樣有機會談戀愛或是遊玩,在片中也有這麼一段台詞認為自己屬於被保護下長大的孩子,在光鮮亮麗的歌手外表下,她也想像其他女孩一樣有機會談戀愛、結婚、生子,在這部電影裡都可以看到父親對女兒的關懷,希望留下女兒美好的一面,所以也不會有一些緋聞或是不好的新聞,比較像是父親為了紀念自己的小女兒而拍攝的電影。 這部電影裡,Abraham提到到的一些觀點訴盡了移民們的心酸,他對西班牙語不流利但即將上台演唱的Selena說:「在美國要了解美國歷史,要比美國人更美國人,但也不能忘記墨西哥的歷史,要比墨西哥人更墨西哥人…。」也許因為以前慘痛的經驗,所以告訴女兒一定要學西班牙話,從拉丁歌曲開始表演。Selena的成功除了她本身的天賦和與生俱有的親和力外,我

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法可管,例如《兒童與